Evitare attacchi XSS con Set-Cookie HttpOnly
Tra le tante accortezze che bisogna avere per mettere in sicurezza un’applicazione web, c’è quella di servire i cookies in modalità protetta. Aggiungiamo quindi in /etc/apache2/conf-enabled/security.conf
|
1 2 |
Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly" Header always edit Set-Cookie (.*) "$1; Secure" |
e poi riavviamo apache:
|
1 |
service apache2 restart |
Per verificare che tutto funzioni, si può usare curl come segue:
|
1 |
curl -I http://www.sito_da_controllare.ext/index.php |
e verificare che la riga che inizia per Set-Cookie abbia anche … Leggi tutto